Hoofdcategorieën

Analyse: zwakke wachtwoorden op Tweakers.net

Door Arjen van der Meijden, dinsdag 13 september 2011 13:30, views: 51.364

Tweakers.net heeft eind vorige maand de opslag van wachtwoorden aangepakt. Het gebruik van de zwakke md5-methode is uitgefaseerd en de kans dat een hacker nu nog wat met onze wachtwoordendatabase kan beginnen, is enorm veel kleiner geworden. Toch wilden we ook wel even weten wat er zou zijn gebeurd als de oorspronkelijke lijst met md5-hashes was uitgelekt. Hoeveel van die wachtwoorden zou een hacker hebben kunnen kraken, en hoeveel moeite had dat dan gekost? Om dat uit te zoeken hebben we zelf maar eens wat digitale breekijzers uit de kast gehaald.

Het onderzoek

Tijdens een speurtocht op het internet bleek al snel dat er hashing-tools bestaan die met CUDA of OpenCL de gpu kunnen gebruiken om lange lijsten van md5-wachtwoordhashes te kraken. Dat gaat zelfs zo snel, dat het meer tijd kost om een rainbow table te downloaden dan om met een dergelijke cracker een simpele brute-forceaanval op de wachtwoorddatabase uit te voeren.

Verder bleek dat er grote lijsten wachtwoorden en gewone woorden te downloaden zijn. Dat zijn ideale lijsten om een dictionary attack mee uit te voeren. Bovendien kan je vrij eenvoudig variaties op woorden laten genereren. Als je bijvoorbeeld een woordenlijst met Nederlandse woorden hebt, kan je daar ook variaties met hoofdletters en 1337-speak van laten maken.

In totaal hebben we ruim 21 miljoen woorden uit diverse lijsten verzameld. De door ons gebruikte cracker had slechts veertien seconden (!) nodig om die lijst met ruim 330.000 wachtwoordhashes uit onze database te vergelijken. Daarna deden we nog een test met bijna een half biljoen variaties op die woordenlijsten. Hier waren nog eens zestien hele minuten voor nodig.

Uit deze test bleek dat een uitgebreide brute-forceaanval veel minder nut heeft. Het zou vele uren geduurd hebben om alle mogelijke wachtwoorden van maximaal acht tekens te berekenen - met de vrij verkrijgbare woordenlijsten hebben we in minder dan een half uur meer dan de helft van de wachtwoordhashes gekraakt.

Zwakke wachtwoorden

We kunnen dus stellen dat ruim de helft van onze gebruikers een relatief zwak wachtwoord heeft. Daarbij is onderscheid te maken tussen echt heel zwakke wachtwoorden en wachtwoorden die op zich wel voldoen aan de normale aanwijzingen voor sterke wachtwoorden, maar die in diverse lijsten staan of die eenvoudig van bestaande woorden zijn af te leiden. De gebruikte tekens in een wachtwoord als 's-Gravenzande maken dit in theorie tot een vrij sterk wachtwoord, maar omdat het om een bekende plaats gaat, staat het in de woordenlijsten.

Ook varianten op woorden maken een wachtwoord vaak niet sterker. Het is bijvoorbeeld vrij gebruikelijk om de eerste letter als hoofdletter neer te zetten en aan het eind wat cijfers te stoppen - maar die cijfers zijn angstig vaak '123' of '1234'. Je eigen nickname, voor- of achternaam - of een variant daarop - gebruiken zou natuurlijk helemaal uit den boze moeten zijn, maar het komt nog vaak genoeg voor.

Voor de gebruikers waarvan wij het wachtwoord konden kraken - in minder dan een half uur dus - hebben we de gele notificatiebalk bovenaan de pagina van stal gehaald. Als je die ziet, is het beslist nuttig om je wachtwoord te wijzigen in een sterkere reeks met liefst zoveel mogelijk willekeurige tekens. Als je geen zin hebt om ingewikkelde wachtwoorden te onthouden, kan je daar tools als Keepass of online diensten als Lastpass voor gebruiken. Een willekeurige tekenreeks van 12 tot 20 tekens is genoeg - nog langere wachtwoorden zijn niet per se veiliger, maar wel ontzettend onhandig als je ze onverhoopt toch een keer moet intypen.

Een alternatief is om een veel moeilijker te kraken, maar makkelijker te onthouden wachtwoord te maken aan de hand van een relatief eenvoudig te onthouden zinnetje. Als je dat zinnetje onvoorspelbaar maakt, en natuurlijk voor elke site die je gebruikt een uniek zinnetje gebruikt, is dat voldoende veilig. Mocht een site gehackt worden, dan moet je toch je wachtwoord wel wijzigen. Daarmee is meteen gezegd dat het belangrijker is om per site een uniek wachtwoord te hebben, dan om een vreselijk lang wachtwoord te verzinnen. Daar maak je het vooral jezelf moeilijk mee.

Nota bene: Dit onderzoek is uitsluitend door medewerkers van Tweakers.net verricht. De benodigde gegevens zijn vernietigd en niet aan derden ter beschikking gesteld. Alleen een niet tot wachtwoorden herleidbaar overzicht van gebruikersnummers is bewaard om gebruikers met een zwak wachtwoord te kunnen waarschuwen.

Social sharing uitschakelen

19-09	Tweakers.net kanshebber titel Website van het Jaar
15:12	Development-round-up - iteratie #5

Arjen van der Meijden

Sinds Oktober 2001 co-developer met als voornaamste taak het technisch beheer van het forum. Ondertussen op alle fronten inzetbaar.

E-mail
Username	ACM
Functie	Developer
Tweakblog	acm.tweakblogs.net

Reacties

« 1 2 3 4 ... 18 19 »

Door Quad, dinsdag 13 september 2011 13:31

Oke, bedankt en zal gelijk eea wijzigen

Door Gekke waus, dinsdag 13 september 2011 17:17

Dat mensen op tweakers zwakke wachtwoorden hebben heeft denk ik ook te maken met dat het veel mensen helemaal niet uit maakt of ze gehackt worden op tweakers.net. Zolang het maar een ander wachtwoord is dan je email of iets anders belangrijks, je "spam emailadres" en je niet je officiele naam gebruikt.. Het zou mij iig niet zoveel uitmaken, ik maar wel een nieuw accoun.

Door Abom, dinsdag 13 september 2011 18:14

Eens, ik gebruik voor de 'minder' boeiende zaken hetzelfde makkelijke wachtwoord en ik gebruik bewust geen complexe wachten voor bijvoorbeeld tweakers, die ik ook gebruik voor zakelijke doeleinden.

Never the less, goed initiatief! Security-awareness is heel erg belangrijk.

[Reactie gewijzigd door Abom op dinsdag 13 september 2011 18:16]

Door houseparty, woensdag 14 september 2011 21:53

Eens, ik gebruik voor de 'minder' boeiende zaken hetzelfde makkelijke wachtwoord en ik gebruik bewust geen complexe wachten voor bijvoorbeeld tweakers, die ik ook gebruik voor zakelijke doeleinden.

Never the less, goed initiatief! Security-awareness is heel erg belangrijk.

Mee eens. Voor privacygevoelige informatie en/of zakelijke informatie gebruik ik complexe wachtwoorden. Voor triviale zaken gebruik ik simpele makkelijk te onthouden wachtwoorden (slechts twee simpele variaties) die ook lekker makkelijk en snel in te voeren zijn.

Natuurlijk zou het verstandiger zijn altijd en overal complexe (en verschillende!) wachtwoorden te gebruiken, maar dat is me veel te omslachtig. En ik vind het eigenlijk nergens voor nodig, een accountje zoals bijvoorbeeld deze op t.net bevat gewoon geen gevoelige info wat mij betreft.

Maar inderdaad: goed initiatief. Er zijn er genoeg die info die wél met een goed wachtwoord beschermd (minimaal) hoort te zijn ook van eenzelfde simpel wachtwoord voorzien.

[Reactie gewijzigd door houseparty op woensdag 14 september 2011 22:09]

Door dasiro, dinsdag 13 september 2011 18:31

de reden waarom wachtwoorden gehashed moeten opgeslagen worden is omdat de eigenaars van de site de database niet kunnen misbruiken om paswoorden te achterhalen.

als ze die dan zelf gaan hacken om TOCH aan de paswoorden te geraken, vind ik dit een ZEER GROVE INBREUK op de privacy van de users en volgens mij zelfs strafbaar.

Door TheGhost, dinsdag 13 september 2011 18:44

En jij denkt dat Admins het wachtwoord niet zouden resetten als ze echt iets nodig hebben van dat account? Droom verder!

Door Netraam, dinsdag 13 september 2011 18:52

Natuurlijk kan een wachtwoord gereset worden. Bij een goed systeem wordt dit in een log opgeslagen. Verder gaat het niet alleen om toegang tot deze site.

Meeste mensen gebruiken een wachtwoord op meerdere plaatsen.

Aan de andere kant zegt het ook iets over de beveiliging van tweakers.net zelf.
Het feit dat wachtwoorden op deze manier te achterhalen zijn komt ook door de manier van opslaan van de wachtwoorden

Door dwilmer, dinsdag 13 september 2011 23:56

Om inderdaad de wachtwoorden enkel gehasht erin te zetten, is geen bijster slim idee. Beter is het om een SALT te gebruiken - niet het wachtwoord, maar een combinatie van wachtwoord en een geheime string wordt gehasht. Dan wordt het opeens een stuk lastiger om die hash te kraken, aangezien je ook de geheime string moet kennen.

Zulk soort dingen maken je wachtwoorden extra veilig. Een hash uit de sha-familie om brute force lastiger te maken, en een salt om dictionary attacks te voorkomen. Nu nog daadwerkelijk implementeren...

Door DLGandalf, woensdag 14 september 2011 02:43

Een salt hoeft niet zozeer geheim te zijn, zolang hij maar elke keer anders is, dit maakt de rainbow table methode nl onbruikbaar. De salt zal voor het oprechte systeem, in dit geval het inlog systeem van tweakers, ook paraat ( -- niet geheim --) moeten zijn en staat dus ergens samen met het gehashte wachtwoord+salt opgeslagen.

Het maakt het combinatorische probleem dus nog ondoenlijker, niet onberekenbaar.
Eigenlijk is het dus een verkapte manier om je gebruikers een moeilijker wachtwoord te laten nemen zonder dat ze het zelf doorhebben.

De dictionary attack wordt er iets trager door omdat je nu unieke hashes on the fly moet gaan maken voor elk dictionary woord (die dus opeens een 'x' karakters langer is). Als je dit snapt, is nu dus ook gemakkelijk in te zien dat de rainbow tables totaal geen nut meer hebben, zou je echter 1 unieke salt gebruiken voor alle wachtwoorden, is er wel weer gemakkelijk een rainbow table te maken, deze is nl net zo sterk als het triviale geval dat de salt lengte 0 is.

[Reactie gewijzigd door DLGandalf op woensdag 14 september 2011 03:00]

Door DarkTemple, woensdag 14 september 2011 13:54

Een salt hoeft niet zozeer geheim te zijn, zolang hij maar elke keer anders is, dit maakt de rainbow table methode nl onbruikbaar. De salt zal voor het oprechte systeem, in dit geval het inlog systeem van tweakers, ook paraat ( -- niet geheim --) moeten zijn en staat dus ergens samen met het gehashte wachtwoord+salt opgeslagen.

Het maakt het combinatorische probleem dus nog ondoenlijker, niet onberekenbaar.
Eigenlijk is het dus een verkapte manier om je gebruikers een moeilijker wachtwoord te laten nemen zonder dat ze het zelf doorhebben.

De dictionary attack wordt er iets trager door omdat je nu unieke hashes on the fly moet gaan maken voor elk dictionary woord (die dus opeens een 'x' karakters langer is). Als je dit snapt, is nu dus ook gemakkelijk in te zien dat de rainbow tables totaal geen nut meer hebben, zou je echter 1 unieke salt gebruiken voor alle wachtwoorden, is er wel weer gemakkelijk een rainbow table te maken, deze is nl net zo sterk als het triviale geval dat de salt lengte 0 is.

Het scenario is juist: men kan op de 1 of andere manier de hashes uitlezen en men gebruikt een brute-force attack. Dus als men de hashes kan uitlezen kan men ook de salt lezen, dus die heeft hiervoor weinig toegevoegde waarde.
Waar de salt wel goed voor is; Het maakt de hashlijsten onbruikbaar. Dus met zout is iig beter dan flauw.

Door JaFFoG, donderdag 15 september 2011 09:06

Dus als men de hashes kan uitlezen kan men ook de salt lezen, dus die heeft hiervoor weinig toegevoegde waarde.

Dat is waar, maar er wordt in deze zin wel een verkeerd beeld geschetst. Je vergeet twee heel belangrijke eigenschappen die een en ander flink relativeren. Dat zijn:

1. MD5-hashes zijn altijd 32 karakters lang
Doordat alle MD5-hashes 32 karakters lang zijn, zijn er oneindig veel strings die eenzelfde hash opleveren. Het zou dus kunnen zijn dat md5('foo') dezelfde hash oplevert als md5('bar') (is in dit geval niet zo, maar dit soort vergelijkingen zijn er, dat is een feit).
Stel mijn wachtwoord is "foobar" en de hash is "123", dan is er een kans dat deze string wordt gevonden. Maar dit zou ook "b35Gse" kunnen zijn bijvoorbeeld, als deze string toevallig dezelfde MD5-hash tot gevolg heeft. Wat is de salt? Geen idee.

2. De salt is niet continu hetzelfde
Als de salt niet voortdurend hetzelfde is dan is het risico klein (zéker met het punt hierboven in het achterhoofd). Zoals hier al is gezegd maakt dit het lastig om alle hashes in één keer te kraken.

DLGandalf:
De salt zal voor het oprechte systeem, in dit geval het inlog systeem van tweakers, ook paraat ( -- niet geheim --) moeten zijn en staat dus ergens samen met het gehashte wachtwoord+salt opgeslagen.

Tenzij je de salt genereert uit andere gegevens van die gebruiker. Enige catch hierbij is dat deze gegevens óf niet mogen wijzigen (anders kan de salt niet meer berekend worden), óf deze gegevens mogen alleen gewijzigd worden i.c.m. een wachtwoord invoer (zoals op Tweakers.net het geval is bij profielinformatie), zodat de uiteindelijke hash opnieuw gegenereerd kan worden.

Dat Tweakers.net tot dit jaar - het is verdorie 2011 - zó makkelijk met wachtwoorden omsprong verbaast mij dan ook ten zeerste. Helemaal omdat ze zelf een raakvlak hebben met deze technologieën en er zelf regelmatig over berichten. Valt me zwaar tegen.

[Reactie gewijzigd door JaFFoG op donderdag 15 september 2011 09:09]

Door AltWouss, woensdag 14 september 2011 14:45

Maar als je de wachtwoorden tijdens de md5 vervuild, dan kunnen de rainbowtables toch nooit goede wachtwoorden opleveren tenzij de hacker weet wat voor een vervuiling er op treed?

Door ACM, woensdag 14 september 2011 18:24

Wat een correct geimplementeerde salt vooral toevoegt, is de zekerheid dat elk wachtwoord uniek wordt opgeslagen. Op die manier kan je met een brute-force aanval het duurste rekendeel (hash('testwachtwoord')) niet triviaal hergebruiken en met alle opgeslagen hashes vergelijken, want je moet dan voor elke unieke salt een nieuwe hash genereren. Kortom, elk wachtwoord moet afzonderlijk van begin tot eind gebruteforced worden, ipv dat je de hele lijst in een keer kan doen. Dit maakt ook gelijk rainbowtables onbruikbaar.

Het is daarom ook belangrijker dat elk wachtwoord een unieke salt krijgt, dan dat die salt geheim zou zijn.

Door dwilmer, dinsdag 13 september 2011 23:46

Als admin heb je sowieso toegang tot de database. Tenzij alles versleuteld(niet gehasht) in de database staat, hoef je niet eens in te loggen. En anders de account opzoeken, wachtwoord kopiëren naar kladblok, tijdelijk wachtwoord erin zetten, inloggen, oude wachtwoord weer terug zetten. Niemand die er iets van merkt.

Door The Lord, woensdag 14 september 2011 09:29

Dan klopt het beveiligingsmodel eigenlijk niet.

Zoals dat vrijwel overal het geval is als het om een via internet beschikbaar gestelde applicatie gaat.

Door JaFFoG, donderdag 15 september 2011 09:15

Het meest ideaal zou zijn om de wachtwoorden te versleutelen nog vóór deze worden verstuurd. Er zijn een aantal systemen met een webinterface die ook op die manier werken.

Maar onder andere hiervoor is er SSL wat, simpel gezegd, alle informatie tussen server en client versleutelt. Dus ook persoonlijke informatie als een wachtwoord.

Door ajakkes, donderdag 15 september 2011 10:28

Wat jullie vergeten is dat de data die je aan tweakers "geeft" juist bedoeld is voor tweakers. Welke persoonlijke informatie geef jij aan tweakers die niet voor tweakers bedoeld was? Alleen je wachtwoord toch. En deze is toch versleuteld opgeslagen.

Op websites die een applicatie draaien die puur voor de gebruiker is gemaakt en niet voor alle gebruikers is het mogelijk om de data te coderen met een of meerdere wachtwoorden zodat de eigenaar van de site zelf geen toegang heeft. Zo zou Google doc's alle bestanden geëncrypt kunnen opslaan. Maar verwacht je dat dit gebeurt? Zoals gebleken doet zelfs dropbox dit niet

Door mae-t.net, dinsdag 13 september 2011 20:52

Dat is niet de reden dat ze gehashd ""moeten"" worden opgeslagen. Dat is om te zorgen dat derden er niet mee aan de loop gaan. Jij hebt een gebruiksovereenkomst met tweakers.net, en ik zou toch aannemen dat er in die overeenkomst staat dat je geen privégegevens moet achterlaten waar tweakers.net zelf geen kennis van zou mogen nemen. Wel even een ander verhaal als uitlekken naar derden dus.

Dat bijvoorbeeld gerecyclede wachtwoorden ook vallen onder gegevens waarvan jij wilt dat ze niet uitlekken, bedenkt niet iedereen zich maar dat is dus een uitstekende reden om alleen bij onbelangrijkere accounts je wachtwoord te hergebruiken. Je weet immers nooit hoe een site intern met de wachtwoorden omgaat.

Mijn wachtwoord is weliswaar maar zeer beperkt hergebruikt maar komt helaas tegenwoordig wèl in woordenlijsten voor, en is dus ook gekraakt geworden. Ik zal het ook maar eens veranderen.

[Reactie gewijzigd door mae-t.net op dinsdag 13 september 2011 20:56]

Door _AvA_, dinsdag 13 september 2011 21:13

Je moet je voorstellen dat iedere hacker die toegang tot deze database heeft gekregen dit zou kunnen doen. Tweakers.net heeft jou waarschijnlijk ook laten zien dat je een zwak wachtwoord hebt. Dan kan je inderdaad reageren zoals je nu doet, je kunt ook dankbaar zijn dat men dit zo duidelijk laat zien zonder kwaad in de zin te hebben.

Trouwens, de gegevens die jij op websites plaatst verscholen achter wachtwoorden, moet je sowieso zien als 'openbaar', vind ik. Info op welke website dan ook achterlaten moet voor je gevoel hetzelfde zijn als iemand op het station een koffer met codeslot geven met diezelfde inhoud en dan er op vertrouwen dat diegene die koffer niet open breekt.

Kortom: denk goed na over wat je op internet plaatst en ga er zeker niet van uit dat het allemaal wel veilig is.

Door arjankoole, woensdag 14 september 2011 09:05

de reden waarom wachtwoorden gehashed moeten opgeslagen worden is omdat de eigenaars van de site de database niet kunnen misbruiken om paswoorden te achterhalen.

De eigenaars van de site hangen dan gewoon een logger in hun website, die logt welk wachtwoord jij invult in het password veldje, voor dat ie door de hasher (of eventueel hash + salt) gehaald wordt en tegen de gehashte entry in de database wordt gechecked.

Daarvoor hoeven ze helemaal niet de database entries te bruteforces, maar alleen een tijdje een lurker te draaien. Als je toegang hebt tot de code van de website is dat kinderspel. (serieus, m'n dochter van 4 kan zoiets bedenken)

Een academische test waar geen mens krijgt te zien wat de wachtwoorden zijn is alles behalve schandalig te noemen. En het helpt wel onze security awereness verhogen.

Door BTU_Natas, woensdag 14 september 2011 11:24

"Een academische test waar geen mens krijgt te zien wat de wachtwoorden zijn is alles behalve schandalig te noemen. En het helpt wel onze security awereness verhogen."

Die volgens jouw eigen woorden.:

"Daarvoor hoeven ze helemaal niet de database entries te bruteforces, maar alleen een tijdje een lurker te draaien. Als je toegang hebt tot de code van de website is dat kinderspel. (serieus, m'n dochter van 4 kan zoiets bedenken)"

Dus, we kunnen allemaal net zo goed een 5 cijferig ww nemen. En be done with it.

Door R-J_W, woensdag 14 september 2011 12:31

Dat zou waar zijn wanneer dasiro gelijk heeft met zijn opmerking: "de reden waarom wachtwoorden gehashed moeten opgeslagen worden is omdat de eigenaars van de site de database niet kunnen misbruiken om paswoorden te achterhalen."

Maar allereerst vind ik die opmerking onzin.
Admins die zelf wachtwoorden willen hebben gebruiken überhaubt geen hashes.
Dit soort beveiligingen worden alleen maar gebruikt om te zorgen dat iemand die, om wat voor reden dan ook, de database in handen krijgt geen toegang tot de wachtwoorden heeft.

Dus wanneer BTU_Nates ook aanneemt dat de admin het gevaar is. Heeft hij gelijk.
Tegen een admin of iemand anders die ongecontroleerde toegang tot de code van de site of jou pc heeft hebben deze beveiligingen geen enkel nut.

Maar normaal gesproken is dat niet het doel van een sterk wachtwoord en encryptie.
Je wilt niet dat een verloren backup of een hack die toegang tot de database geeft direct alle wachtwoorden prijs geeft. Juist voor de mensen die dat wachtwoord ergens anders ook gebruiken.

Door bsondagh, donderdag 15 september 2011 16:29

Klopt helemaal.
Een wachtwoord resetten is iets heel anders dan een wachtwoord kraken, immers het kan zijn dat de gebruiker hetzelfde wachtwoord ook voor andere diensten / websites gebruikt. Los ervan of het slim is overal hetzelfde wachtwoord te gebruiken. Dit is wel degelijk een inbreuk op de privacy.
Indien in de gebruikersvoorwaarden staat dat is soort tests steekproefsgewijs mogen plaatsvinden zou het steekproefsgewijs mogen. Zo niet dan is het gewoon strafbaar, zeker de totale database.
De wetgever maakt geen onderscheid tussen deze actie en alle huizen afgaan van alle leden om te voelen of alle ramen en deuren wel goed dicht zitten en daar dan een artikel over publiceren.

Dit gezegd hebbend, blijft security awareness de belangrijkste factor in de beveiliging en heeft de actie hopelijk een positieve uitwerking.

Door ILUsion, donderdag 22 september 2011 22:47

Het feit dat ze je wachtwoord kunnen hashen hebben in de eerste plaats, wilt zeggen dat je zelf dat wachtwoord met die site deelt. Een hash (met of zonder salt) is dan ook niet enkel om te voorkomen dat admins per ongeluk dat wachtwoord te zien krijgen, maar ook dat bij hackpogingen die gegevens niet (of in dit geval iets moeilijker) in handen van de cracker komen.

Hashes gebruik je daarom, niet om je te beschermen van de admins van een site, want die kunnen in de praktijk toch alles uitvreten zonder dat je het doorhebt. Bovendien is het cryptografisch properder om hashes te gebruiken: je wilt immers nagaan of iemand een bepaald geheim kent (zodat hij zich aan de hand van die informatie kan authenticeren), wat dat geheim is, doet er eigenlijk niet toe; zolang je weet dat het geheim is en je mensen die gokken niet snel binnenlaat.

Als je niet wilt dat Tweakers.net je wachtwoord kent, moet je geen account nemen op Tweakers.net of je eigen wachtwoordbeleid er zo op afstemmen dat ze niets zijn met dat wachtwoord. Dat wilt dus zeggen voor elke dienst een ander wachtwoord, met diensten zoals LastPass is dat eenmalig heel wat werk, maar wel een serieuze verbetering op gebied van veiligheid.

Het is ook in geen geval hacken: ze bezitten die gegevens rechtmatig, het had zelfs even goed gekund dat ze die gegevens gewoon plaintext opsloegen.

Door BlackHawkDesign, dinsdag 13 september 2011 19:34

Inderdaad, dat is bij mij ook het geval. Ik heb meerdere niveau's in me wachtwoorden zitten. Gebruike complete zinnen met leestekens en cijfers voor mail e.d. Maar voor fora gebruik ik meestal simpele wachtwoorden.

Toch erg leuk om te lezen

Lijkt me ook zeer leuk om uit te voeren.

Door xxSpecxx, dinsdag 13 september 2011 13:33

Yup mijne ook maar meteen gewijzigd. $_/-\o_$

Door Ras, dinsdag 13 september 2011 14:50

Ook gewijzigd.

De door ons gebruikte cracker had slechts veertien seconden (!) nodig om die lijst met ruim 330.000 wachtwoordhashes uit onze database te vergelijken. Daarna deden we nog een test met bijna een half biljoen variaties op die woordenlijsten. Hier waren nog eens zestien hele minuten voor nodig.

Probeer morgen nog eens!

Of over een half jaartje ofzo. Lijkt me erg interessant.

Door Xirt, dinsdag 13 september 2011 19:03

Dat is niet meer mogelijk, want iedereen heeft nu een beter beveiligd wachtwoord (dat staat ook in .plan). Het idee was volgens mij om aan te tonen hoe zwak een enkelvoudige simpele encryptie is.

Door Phoenix1337, woensdag 14 september 2011 09:21

MD5 is geen encryptie maar een hash algoritme

Door R-J_W, woensdag 14 september 2011 12:38

Het is nog veel dramatischer ... er wordt niet aangetoond hoe zwak MD5 is, maar hoe zwak de wachtwoorden zijn, die mensen gebruiken op tweakers.

Er is geen gebruik gemaakt van een rainbow-table op de MD5 hashes, maar een brute-force aanval met uitgebreide woordenlijsten.
Dit zelfde kun je ook doen voor elke andere hash (+salt). Wanneer je weet hoe de hash berekend wordt kun je deze methode toepassen. En dat vereist niet meer dan toegang tot de database en de code die gebruikt is om de hash te berekenen. (Een oude backup is genoeg)

Door MadEgg, maandag 26 september 2011 09:19

Mja, toch is daar best een mouw aan te passen met iteratief hashen. Als je salt toevoegd aan een wachtwoord, dat hasht, wederom het salt toevoegd opnieuw hasht, weer salt toevoegd, opnieuw hasht, en dat een paar duizend keer, maak je het bruteforcen aardig lastig.

Tuurlijk werkt het nog steeds op dezelfde manier, mits je het salt weet, maar aangezien je elk wachtwoord een paar duizend keer (of paar honderdduizend keer) moet hashen vertraag je het proces significant, wat voor normaal inloggen weinig uitmaakt maar brute forcen een stuk lastiger maakt.

Door liberque, dinsdag 13 september 2011 18:19

Hier blijft mijn 'zwakke' wachtwoord dus lekker bestaan. Nu vind ik Tweakers.net in mijn huidige status niet echt een 'cruciale' site waarbij account infringement/loss me in het dagelijks leven ook maar iets zal belemmeren. Sterker nog: een sterk wachtwoord doet dit dus wel. Probeer je 'sterke wachtwoord' immers op je mobieltje maar eens in te tikken als je wilt inloggen op Tweakers.net. Lekker 15 mins pauze, je wilt even een review aanpassen en probeert in te loggen. Voordat je het weet heb je nog maar 5 mins over omdat je net een hoofdletter, een speciaal leesteken of whatever verkeerd heb ingetypt.

Sure, daar zijn tooltjes voor, maar de zwakheid daarin zit dat ik dan na iedere firmware update weer opnieuw kan beginnen of nog erger, mijn mobiel moet gaan backuppen. Daarnaast wil ik helemaal geen wachtwoorden op mijn mobieltje opslaan, in welke vorm dan ook. Ben ik het ding kwijt hoef ik me ook nergens zorgen over te maken. Vandaar dus een relatief zwak wachtwoord: gemak dient immers de mens.

Leuk daarbij dat jullie een test hebben gedaan, maar representatief is het natuurlijk niet echt. Het gros van de gebruikers kan het niet schelen als hun Tweakers.net identiteit wordt gestolen. Hetzelfde geldt voor alle andere fora en spelletjessite. Nee, mijn WoW wachtwoord is wel sterk en er hangt een authenticator aan. Daar hecht ik dan ook een stuk meer waarde aan.

Door Whizzy, dinsdag 13 september 2011 13:35

Gaat lekker vandaag.. eerst mijn TAN sms codes geblokkeerd door ING (vanwege een trojan) en nu komen jullie met mijn zwakke wachtwoord aanzetten..

Door BeosBeing, dinsdag 13 september 2011 16:10

Tja, dan zal er waarschijnlijk wel een verband zijn.
Mijn wachtwoord wordt/werd ook als zwak aangemerkt, echter met varianten waarin hooft-en kleine letters voorkomen of niet-alfanumerieke tekens levert eigenlijk altijd problemen op, o.a. vanwege capslock en alternatieve toetsenbordindelingen (zoals nl versus us-international en us)

Door combs, dinsdag 13 september 2011 13:36

idem, leuk stuk om te lezen, helaas dat we niet meer zien van het process, maar jullie maken hiervan geen how-to's natuurlijk

edit
helaas laten sommige sites geen passwords toe die langer zijn dijn of 12 of 15 etc tekens

[Reactie gewijzigd door combs op dinsdag 13 september 2011 13:44]

Door freaky, dinsdag 13 september 2011 14:51

Je zult er verbaasd van staan. Bij de meeste websites zijn wachtwoorden bijzonder gelimiteerd idd.

Meeste websites gaan bijv. over de zeik van leestekens (zoals { ) & ^ etc), terwijl die dingen wonderen doen voor de complexiteit t.b.v. password crackers.

Veel websites accepteren wachtwoorden langer dan wat ze aankunnen. Als ze maar 20 karakters aan kunnen wijzigen ze je wachtwoord toch vrolijk als je er 24 op geeft. Meestal kun je daarna niet meer inloggen omdat het inlog proces niet dezelfde logica gebruikt als het wachtwoord wijzigen gedeelte. Ze snijden bijv of de laatste karakters er af, maar doen dat niet bij inloggen, of het laatste geaccepteerde karakter (zeg positie 20) wordt het laatst ingevoerde teken (dus 1-19, is 1-19, maar als je 24 karakters invoert is positie 20 dat wat op 24 stond). Erg prettig inloggen daarna...

Maar ja, het zuigt idd

Door Lapa, dinsdag 13 september 2011 15:07

Dat ken ik ja. Laatst moest ik bij de KLM het antwoord op de 'secret question' invullen. Was een getal, maar de interface accepteert alleen letters. Maar dat geldt dus blijkbaar niet de voor interface waar je je antwoord oorspronkelijk op moet geven.

Dat betekende dus telefoneren, account resetten (en daarbij werd geadviseerd om dat via Air France te doen, omdat die site beter werkt of zo)

Door moreasy, dinsdag 13 september 2011 16:36

<aluhoedje op>Vast bedoeld om ook de site van KLM nu uit te faseren...?<aluhoedje af>

Geen gele balk hier dus alles safe.
Nog even een vraagje, als je wachtwoord uit 4 random gekozen woorden bestaat is het dan ook makkelijk te kraken? Bijvoorbeeld: fietspaardwatersponning ?

[Reactie gewijzigd door moreasy op dinsdag 13 september 2011 16:37]

Door SmiGueL, dinsdag 13 september 2011 18:00

Zie de laatste link uit het artikel

Hier staat ook omschreven dat aan elkaar geplakte woorden stukker veiliger zijn t.o.v. meer geavanceerdere woorden.

"It is 10 times more secure to use "this is fun" as your password, than "J4fS<2"."

Maargoed, dit hangt natuurlijk ook af van op welke tekens je brute-forced

Bij een brute force zijn er voor "J4fS<2" zo'n 10^10 mogelijkheden. (26+26+16)^6
En voor "thisisfun" zo'n 3 * 10^16 mogelijkheden. (26+26+16)^9

Kortom: "thisisfun" is 3 miljoen keer lastiger te raden..

Voorbeeld: Als "J4fS<2" binnen 10 minuten geraden zou worden, dan zou "thisisfun" het 3 miljoen maal langer uithouden.. Dit is dus bijna 60 jaar.

D.m.v. een dictionary attack zal het woord "thisisfun" wss veel eerder geraden worden dan "J4fS<2".. Dus zorg er bij het gebruik van aanelkaargeplaktewoorden altijd voor dat deze (hoe logisch ook) niet in een dictionary list voor komen

[Reactie gewijzigd door SmiGueL op dinsdag 13 september 2011 18:13]

Door Evilslayer, dinsdag 13 september 2011 20:31

Ter illustratie een cartoon : http://xkcd.com/936/

Verder top actie van tweakers.net

Door Red hot, dinsdag 13 september 2011 23:22

Interressant, Ik maak het me onnodig moeilijk zie ik wel...

Door onox, woensdag 14 september 2011 02:05

Vragen werkt ook altijd goed: http://xkcd.com/538/

[Reactie gewijzigd door onox op woensdag 14 september 2011 02:06]

Door demonite, woensdag 14 september 2011 07:40

2 common words, bv "alpine fun", is in 2 maanden te kraken.
3 common words, dus "this is fun", duurt 2500 jaar op dezelfde manier... Dat snap ik niet helemaal. Misschien dat dit met de huidige/simpele dictionairy en common words crackers idd het geval is, maar dit is vragen tot iemand iets slims bedenkt wat ook rekening houdt met het gebruik van meerdere woorden. (Netzoals het 1337speek is gebeurd)

Door PV85, woensdag 14 september 2011 10:59

Juist, vind deze claim dan ook een beetje onzin. Zodra iemand combinaties van veel achter elkaar voorkomende woorden gaat opslaan ben je echt niet meer zo veilig.
Google vult mijn woorden ook al aan, dus met een beetje programmeerwerk en de google api heb je al snel een flinke lijst gemaakt.

Door Goderic, woensdag 14 september 2011 11:28

Het punt is dat je met combinaties van woorden meer mogelijkheden hebt dan met letters vervangen door cijfers ed.
Het Engels heeft 500.000 woorden, een dictionary attack moet dus maar 500.000 pogingen doen.
Als je bijvoorbeeld een x aantal e's in woorden gaat veranderen door 3 en we gaan er even vanuit dat er in elk Engels woord drie e's zitten (het is minder, dus dit is een zeer optimistische schatting) dan heb je 8x zoveel of mogelijkheden, wat niet zo'n groot verschil is*.

Wanneer je een wachtwoord van 3 willekeurige woorden maakt (thisisfun is IMO niet zo'n goed idee aangezien deze woorden een bestaande zin maken en die misschien eerder uitgeprobeerd worden) heb je 500.000³ of 125.000.000.000.000.000 mogelijkheden, wat dus wél een groot verschil is.

*: Je kunt natuurlijk meer letters dan e's vervangen, waardoor er een stuk meer mogelijkheden zijn (al moet je er rekening me houden dat geen enkele letter gemiddeld 3x voorkomt) en je misschien aan evenveel mogelijkheden komt als met 3 willekeurige woorden.
Al is het volgens mij wel een stuk moeilijker om te onthouden op welke plaats je letters verving door andere tekens dan om 3 willekeurige woorden te gebruiken. Zelfs 4 woorden is nog makkelijker én heeft zeker een hogere complexiteit.

@PV85
Je moet inderdaad willekeurige woorden gebruiken, anders gaat mijn verhaal niet op.
Het hele punt van deze manier van wachtwoorden genereren is dan ook niet dat het sterkere wachtwoorden zijn dan een even lang wachtwoord van willekeurige tekens, want dat is het zeker niet.
Het punt is dat het sterke wachtwoorden zijn die mensen wel gemakkelijk kunnen onthouden, omdat onze hersens dat nu eenmaal beter kunnen. Doordat je een beeld of verhaaltje bij die woorden kunt verzinnen (bij tekens gaat dat wat moeilijker) is het erg gemakkelijk om te onthouden. bovendien weet je toch al hoe je die woorden spelt en moet je dus maar 3 (of 4) dingen in volgorde te onthouden.
Deze XKCD comic legt het goed uit.

@PV85
Daarvoor is de password generator uitgevonden

. (Ik zou trouwens eerder moersleuteltje dan koffie gebruiken

)

[Reactie gewijzigd door Goderic op donderdag 15 september 2011 16:36]

Door PV85, woensdag 14 september 2011 12:44

Maar het is juist mijn punt dat dit niet opgaat. Mensen maken geen wachtwoorden op een willekeurige manier, want die kunnen ze niet goed onthouden. Dus je hebt helemaal geen 1 op de 500.000³ kans op een goede combinatie, die kans is vele malen groter. Dit is ook de reden dat rainbowtables uberhaubt bestaan. En ik zie niet in hoe dit met gecombineerde woorden nu ineens een stuk moeilijk zou worden. Je hebt hoogstens wat grotere tables nodig omdat je meer combinaties hebt, maar dit is iets wat met wat meer processor kracht aan de kant van de hacker zo opgelost is.

Een echt goed wachtwoord moet dan ook voor jezelf logisch zijn maar voor een ander willekeurig lijken. Een rainbow check bij het aanmaken van een wachtwoord zou mensen meer richting die kant moeten kunnen duwen denk ik.

Door PV85, donderdag 15 september 2011 11:41

@Goderic: Ik snap het idee allang. Maar beelden en verhaaltjes maken het ten eerste vaak alsnog niet willekeurig. Ten tweede, als je mensen zo ver krijgt om 4 willekeurige woorden aan elkaar te plakken, dan zullen ze woorden kiezen die voor hun willekeurig lijken. Je zult echter alsnog woorden kiezen die in jouw top of mind voorkomen. En reken maar dat als ik ga lopen gokken, de kans groter is dat jij 'koffie' tussen de woorden hebt staan dan 'moersleuteltje'. Je zou dus die 500.000 woorden naar populariteit kunnen ranken en met de populairste 10% kunnen gaan werken.

Door boelensman1, woensdag 14 september 2011 19:38

Nee, zo'n wachtwoord is zelfs extreem lastig te kraken. Hoe zeldzamer en langer de woorden hoe moeilijker. Al maakt het bij meer dan 3 woorden al niet heel veel meer uit, en spreek je over puur theoretisch risico.

Wat ik eigenlijk niet snap is waarom websites zo moeilijke doen over wachtwoorden/antwoorden op geheime vragen. Ik bedoel, je voert je wachtwoord in, het word gehasht, en het gaat de database in. Wat voor rare tekens je ook invoert, de hash zal toch alleen maar de tekens bevatten die zij goedvinden, en als ze een hash methode willen gebruiken die rare tekens teruggeeft, dan halen ze er daarna toch gewoon nog md5 overheen?

Door P.E.T.E.R., dinsdag 13 september 2011 15:57

Dan denk ik altijd "WFT maakt het uit hoeveel en welke tekens ik gebruik, want jullie maken er (hopelijk) toch een hash van!".

Edit @ hieronder: ik had het over beperkingen die door andere sites worden opgelegz, zoals "maximaal 8 tekens" terwijl de lengte dus helemaal niets uitmaak wanneer het gehasht wordt. Een sha-1 hash in hex notatie is altijd 40 tekens, al is mijn wachtwoord zo lang als deze reactie.

[Reactie gewijzigd door P.E.T.E.R. op dinsdag 13 september 2011 23:47]

Door Thomasv6, dinsdag 13 september 2011 16:39

Als ik een rainbow tabel heb waar de hash van jou wachtwoord in staat, dan maakt de hash nog niks uit. Als jij een wachtwoord van 4 cijfers hebt is de hash makkelijker te decoderen, of komt die eerder voor in een rainbow tabel dan dat joun wachtwoord uit 9 cijfers + leestekens bestaat..

Door AltWouss, woensdag 14 september 2011 15:11

Maar als dat wachtwoord voordat het opgeslagen wordt aangevuld wordt met een onbekende seed, zal een rainbow toch nooit iets nuttigs kunnen opleveren?

Door DarkKnight, dinsdag 13 september 2011 16:42

Tweakers.net zal daar wel een (goede) hash van maken, aangezien daar de kennis voor aanwezig is om dat goed te doen. Helaas is keer op keer bewezen dat er nog genoeg websites zijn waar alles wat minder goed geregeld is. Dus vooral het hergebruik van een wachtwoord levert een groot risico op. En bedenk je ook, dat als het hier al veel voorkomt dat er 'zwakke' wachtwoorden worden gebruikt, kan je alleen maar vrezen met grote vrees voor de sterkte van een gemiddeld wachtwoord.

ps. Ja, ik maak me zelf schuldig aan wachtwoordhergebruik, al ben ik langzaamaan alles aan het omgooien en volledig over te gaan op Keepass gegenereerde en beheerde wachtwoorden.

Door Vae Victus, dinsdag 13 september 2011 16:07

Dit herken ik ook, gelukkig accepteert Tweakers wel leestekens.

Als jullie langer waren doorgegaan, wat was dan de kans geweest dat er meer wachtwoorden gekraakt waren?
Heb dan wel geen gele balk maar vraag me af als iemand er een uur of meer instopt hoever hij dan komt. Kan hij dit redelijk snel bereiken of komt het dan echt aan op brute force?

Gebruik nu de password manager in Firefox, deze synchroniseert ook over meerdere FF installaties. Heeft iemand een idee of dit veilig is, of kan je beter, zoals in het artikel aangegeven, een externe applicatie hiervoor gebruiken?

Door sahel, dinsdag 13 september 2011 17:44

Idd, ik gebruik keepass' random generator, maar moet vaak buiten mijn default setting (12+ chars gebruikmakend van bijna alle speciale tekens) om simpelere wachtwoorden aanmaken omdat je op verscheidene website nog bijvoorbeeld alleen gebruik mag maken van letters en cijfers, of gewoon maar 10 tekens max e.d..

Door Mavericky, dinsdag 13 september 2011 13:36

Dankjewel voor de melding, ik heb mijn wachtwoord meteen maar veranderd in een sterkere variant!

Een beter alternatief voor Lastpass vind ik Passpack. Deze is gratis tot een maximum van 100 wachtwoorden.

[Reactie gewijzigd door Mavericky op dinsdag 13 september 2011 13:37]

Door PorJaxian, dinsdag 13 september 2011 13:39

Lastpass is ook gratis voor een onbeperkt aantal wachtwoorden zover ik weet.
Beetje een onzin reden dus dat Passpack een beter alternatief is.

Werkt passpack ook op elk mobiel apparaat?

Door godofal, dinsdag 13 september 2011 14:31

voor de mobiele versie van lastpass moet je dus wel betalen

nou is 12 dollar per jaar ook niet waanzinnig veel, maar het is toch een struikelblok voor veel mensen

grappig genoeg is mijn main wachtwoord laatst nog gehacked, een ander forum waar ik op zit was gehacked en alle MD5 hashes wss buitgemaakt
ik dus overal wachtwoorden veranderen (lastpass passgen gebruikt: 20 willekeurige letters en cijfers

)
en nu dus géén gele bar bij tweakers

Door moreasy, dinsdag 13 september 2011 16:39

Leuk die tools, maarre... je kunt ook elk wachtwoord in een textfile opslaan, deze allemaal samen in een ZIP stoppen, en op de ZIP een STERK wachtwoord zetten.
Hoe moeilijk het ook is, als je het 100 keer moet herhalen onthoud je het op den duur wel.
Backupje op veilige plek en eens in de zoveel tijd synchen.

Door Red hot, dinsdag 13 september 2011 23:28

Misschien kan iemand nog wat meer voordelen geven, maar Keep Pass zet het ook versleuteld in je werkgeheugen wanneer je de lijst open hebt staan. Verder zag ik net ook nog een functie om keyloggers tegen te gaan.

Dat heb je op die manier niet.

Door borrel0172, dinsdag 13 september 2011 16:50

http://www.clipperz.com is een secure online password manager,

normaal zou ik geen online password manager gebruiken maar deze is secure(alles word door js geencrypt en daarna over ssl verstuurd, bij clipperz weten ze niets van jou account(alles is encrypted in de databace gegaan) )

en tevens opensource!!!

Door airell, dinsdag 13 september 2011 14:33

Veranderen naar een simpel lang zinnetje, maar dan wel met Hoofdletter$ geschreven, want anders wordt het weer niet geaccepteerd.

Door MrJaeqx, dinsdag 13 september 2011 16:02

Het is eigenlijk heel simpel:

http://imgs.xkcd.com/comics/password_strength.png

Door airell, dinsdag 13 september 2011 16:34

Dat plaatje ken ik inmiddels nou wel...

Wat ik bedoel is dat dat paarden nietje, wel geschreven moet worden p44rdeN Nietje, anders wordt het niet door de meeste sites geaccepteerd, omdat er geen hoofdletters en getallen in staan.

Door MrJaeqx, dinsdag 13 september 2011 17:53

Daar gaat het ook om.

Omdat de meeste sites je verplichten om hoofdletters en andere tekens te gebruiken, houden de meeste mensen het wachtwoord kort omdat het anders te moeilijk is om te onthouden. Dit is dan weer makkelijker om te kraken dan een lang wachtwoord.

Door Hoowgii, dinsdag 13 september 2011 17:56

Heel leuk, maar bijv. op hotmail kan ik niet meer dan 18 tekens of zo invoeren.
Dus een mooi zinnetje gaat niet overal op, helaas.

Op tweakers.net iig wel.

Door FreezeXJ, vrijdag 16 september 2011 11:37

In die 18 tekens past een mooi wachtwoord hoor... Woorden nog een beetje als Yoda opschrijven jij wilt, voor extra punten. Oh, en gewoon vage tekens in plaats van spaties, dat vinden crackers ook niet leuk.

Door Bas_f, dinsdag 13 september 2011 16:41

Inderdaad. Dus ik had een geniaal zinnetje bedacht. Maar dat accepteerd tweakers niet, want er moet een hoofdletter in, een kleine letter en een cijfer of speciaal teken. Pas of deze .plan aan, of pas het wachtwoord-check dingetje aan.

Door joint_me, dinsdag 13 september 2011 14:41

Beter alternatief vind ik een makkelijk onthoudbaar wachtwoord voor een weer zo'n site met een inlog en wachtwoord! Kan ik op de computer van mijn ouders ook nog eens een reactie plaatsen

Tweakers moet niet zo moeilijk doen! Ze zijn geen bank, er staat niet echt gevoelige data op en tegen debiele gebruikers kun je toch niet beveiligen.

Wat heeft het voor een nut als een gemiddelde gebruiker alle wachtwoorden onthoud in zijn browser en geen inlog op zijn eigen computer heeft?

[Reactie gewijzigd door joint_me op dinsdag 13 september 2011 14:41]

Door Grrrrrene, dinsdag 13 september 2011 14:52

Wat heeft het voor een nut als een gemiddelde gebruiker alle wachtwoorden onthoud in zijn browser en geen inlog op zijn eigen computer heeft?

Omdat je dan alsnog alleen gevaar loopt als iemand op jouw computer inlogt, dus via een hack of fysiek je laptop/desktop jatten. Op een andere manier in je account komen is dan vrijwel onmogelijk.

Overigens zie ik dit ook als waarschuwing voor passwords die ik op andere websites gebruik. Ik wil voor m'n GMail en overheidswebsites als de belastingdienst/DigiD wel een sterk PW gebruiken. Een random reeks van 20 tekens onthoud ik nooit, maar 3 woorden achter elkaar is geen probleem. En iedereen kan wel wat bedenken natuurlijk: "Mijnfoto'szijnmooi" (gratis bijzonder teken ook nog), of "PasopvoorRSI" of "Eerst'nbakkiekoffie" (bewust een door 'n vervangen) tik je zo in en zijn prima te onthouden.

Door carlo, dinsdag 13 september 2011 19:17

Jouw voorbeelden bestaan allen uit vier aan elkaar geplakte woorden, dat levert een best goed wachtwoord, maar ook dit is door een hacker goed te kraken:

21 miljoen woorden matchen tegen de 330.000 wachtwoordhashes van Tweakers.net duurde 14 seconden.
Bij wachtwoorden van 4 woorden wordt dat dan:
14s x 14s x 14s x 14s = 38416 seconden = 10,7 uur.
Alle combinaties van 1, 2, 3 en 4 woorden samen kost slechts 11,5 uur.

Door toevoegen van hoofdletters, cijfers en leestekens is dit soort wachtzinnen een stuk sterker te maken maar mijn conclusie is dat met de huidige stand van de techniek er weinig te doen is tegen een hacker die de MD5 hashes te pakken krijgt. Langere wachtzinnen zijn niet praktisch, mogelijk dat de toekomst ligt in hashes die door hun ontwerp bewust minder snel zijn te berekenen.

Door Fusioxan, dinsdag 13 september 2011 20:10

Wat je (denk ik) vergeet is dat van de gehele string een hash wordt gemaakt, niet van elk individueel woord. 'PasopvoorRSI', 'Pas op voor RSI', 'Pas op voor rsi' etc. zijn 3 totaal verschillende hashes. Zelf heb ik een aantal jaar geleden een string bedacht, met hoofdletters, kleine letters, cijfers en symbolen. Praktisch onmogelijk om te bruteforcen, maar omdat ik hem vaak gebruik, kan ik hem wel onthouden.

Wat ik ook altijd doe als ik me registreer op een site, is als wachtwoord 'Wachtwoord123!' instellen. Dit voldoet aan de meeste eisen bij een wachtwoord. Echter, zodra ik mijn account en e-mail heb geactiveerd (zonodig), is mijn wachtwoord opvragen. Als ik dan een link in mijn mail krijg waar ik mijn wachtwoord kan wijzigen, vertrouw ik het met mijn echte wachtwoord. Als ik een mailtje terugkrijg met 'Je wachtwoord is: Wachtwoord123!', pak ik een ander wachtwoord.

Helaas wil het nog niet altijd zeggen dat als je je wachtwoord opnieuw moet instellen, hij ook wordt gehasht.

[Reactie gewijzigd door Fusioxan op dinsdag 13 september 2011 20:27]

Door djvanenckevort, dinsdag 13 september 2011 20:12

Je berekening klopt niet, in een gehashte wachtwoord-zin zijn de woorden niet onafhankelijk te kraken. De software moet 21 miljoen tot de vierde macht: 1,9*e29 combinaties testen. Dat zou op deze manier 4,1e15 jaar kosten.

Door codeneos, dinsdag 13 september 2011 20:40

Dat is niet helemaal correct wat je hier zegt. In totaal zijn er 21 tot de macht 4 mogelijkheden, wat neerkomt op 194.481 miljoen mogelijk combinaties van woorden.

Tweakers kan per 14 seconden 21 miljoen woorden verglijken met 330.000 hashes in de database. In totaal zijn er dus 21 miljoen x 330.000 vergelijkingen gedaan in 14 seconden, dit komt neer op 6.930.000.000.000 vergelijkingen in 14 seconden. Zeg maar 495.000 miljoen vergelijkingen per seconde!!

Als tweakers specifiek jouw hash probeert te kraken zou dit dus minder als een seconden duuren (194.481 < 495.000) !

Door _Eend_, woensdag 14 september 2011 22:09

Eerst'nbakkiekoffie of PasopvoorRSI zijn makkelijk te raden, als je je voorkeuren zomaar online gooit. Veel mensen hebben facebook/hyves/netlog waar ze lid worden van tig verschillende groepen en berichten plaatsen. Bijvoorbeeld "ik heb net een speciale anti-RSI muis gekocht!" of lid worden van de "Ik hou van koffie" groep. Of je zet bij je favoriete plaatsen de plaatselijke Starbucks. Als je dan ook nog even zijn of haar berichten doorleest dan krijg je ook een idee van de schrijfstijl. ABN? Straattaal? Dialect? Dan hoef je niet lang na te denken over wat het wachtwoord zou kunnen zijn.

Maar dit soort wachtwoorden zijn al een verbetering ten opzichte van wat ik soms voorbij zie komen.. naam_kind01 of het kenteken van je (huidige) auto

Door Fealine, dinsdag 13 september 2011 16:05

Een beveiliging is zo zwak als de zwakste schakel, hoe onbelangrijk die ook lijkt te zijn. Wanneer je op een 'onbelangrijke' website dezelfde inlog gegevens gebruikt als op een critische website zoals een bank, dan hoeft alleen de eerste gekraakt te worden en is er gelijk ook toegang tot alle andere websites.

Daarom heb ik voor elke website / applicatie dan ook een ander wachtwoord. Gewoon simpel door een zinnetje te maken waarvan 1 specifiek woord altijd een afkorting of kenmerk van de website is die je bezoekt. Je krijg dan wachtwoorden zoals:

kado voor tweakers
kado voor ing
kado voor msn

Door Thomasv6, dinsdag 13 september 2011 16:41

Zoals jij je wachtwoorden gebruikt gebruik ik ze ook, alleen dan meer in de trend van belangrijk - minder belangrijk - onbelangrijk. De eerste is een vrij moeilijk wachtwoord voor ing/paypal, daarna komen tweakers windows e.d. (site's waarvan ik vertrouw dat ze de zaken op orde hebben) en daarna komen de site's waarvan ik weet dat hobbyisten de database beheren en er dus een grote kans op lekken bestaat.

Door Fealine, dinsdag 13 september 2011 17:20

Ja uiteraard, bij websites die ik niet vertrouw gebruik ik dit algoritme niet. Veels te grote kans dat ze mijn wachtwoord niet opslaan als hash en dan is mijn 'algoritme' bekend.

Maar goed, zelfs dat zegt nog niks aangezien ik PSN ook onder de 'vertrouwde' accounts schaarde.... helaas was dat een foute zet

Door mphilipp, dinsdag 13 september 2011 14:59

En hoe veilig slaat Passpack haar wachtwoorden op? Of Lastpass (wat ik zelf gebruik trouwens)? Onlangs zijn ze nog gehacked en iedereen moest het wachtwoord veranderen.

Het klinkt allemaal wel leuk, maar je hebt niet altijd op elke pc lastpass tot je beschikking. Als ik dus overal gegenereerde wachtwoorden gebruik (en beter nog: overal verschillende gegenereerde accountnamen) ben ik dus verplicht om altijd een password store mee te dragen want ik kan het niet allemaal onthouden.

Handig als je ergens bent en je wilt even iets opzoeken en je moet zo'n ingewikkelde naam/password over gaan tikken van je smartphone oid. Helaas is het denk ik wel weer hard nodig. Security op internet is praktisch niet bestaand. Je hebt eigenlijk geen manier om te weten of een site waar je een account aanmaakt wel veilig is. Een https zegt ook heelmaal niets (diginotar anyone?) over de opslag van de passwords. Het kán veilig, maar ik denk dat het gros van de site helemaal niet veilig is. Dus je zult wel iets moeten doen.

Misschien moet je dan maar differentiëren tussen sites die een veiligheidsrisico vormen en daar iets makkelijker credentials kiezen dan voor sites die belangrijker zijn. Als je veel op een bepaald forum zit (meubilair bent bv) dan is dat een risico. Neem dan iig een inlognaam die niets zegt. Een wachtwoord in de vorm van een rekensommetje is volgens mij ook wel veilig én makkelijk te onthouden:

2x4=6+2

Of is dit zo te kraken?

Door DutchStoner, dinsdag 13 september 2011 16:02

http://www.passwordcard.org/nl dit is ook gemakkelijk om wachtwoorden te onthouden.

Door Ayera, dinsdag 13 september 2011 15:03

Ik wilde gelijk hier posten met de vraag hoe veilig diensten waren, maar klein onderzoekje wees er al op dat hier wel is over nagedacht:

Met een dergelijke service zoals Passpack, zouden kwaadwillenden met enkel jouw wachtwoord/security zin al toegang hebben tot al jouw andere logins.

Er zijn wel wat maatregelen genomen tegen phishing en hackers, die ervoor moeten zorgen dat je gegevens veilig blijven.
Al deze maatregelen staan hier opgesomd : click

Denk dat het toch wel goed is afgekaart maar ben toch wel beetje huiverig van dergelijke diensten, er zijn vast wel scenario's te bedenken waardoor alle logins in de verkeerde handen vallen.

Door Zerokewl, dinsdag 13 september 2011 13:37

12 cijfers off leters is dus zwak wachtwoord......

Door HAFTX, dinsdag 13 september 2011 13:59

Als het is 123456789101112 wel. Maar bijvoorbeeld Jo&)1asdf;U8 niet.

Door MonsterPC, dinsdag 13 september 2011 15:03

Zijn dat niet 15 cijfers?

Door MelodyDeluxe, dinsdag 13 september 2011 13:37

tweakers123 vonden jullie nix dus van mij?

Door beerse, dinsdag 13 september 2011 15:06

Hoeveel wachtwoorden met 'tweak" er in hebben ze gevonden? Het lijkt me wel leuk om dat soort statistieken op de wachtwoorden los te laten.

Door Niosus, dinsdag 13 september 2011 15:50

kunnen ze moeilijk doen op alle wachtwoorden, enkel degene die gekraakt zijn. Eenmaal gehashed is het onmogelijk om nog statistiekjes te verzamelen

Door twicejr, vrijdag 16 september 2011 20:54

Niet waar. Je kan gewoon tweak hashen en vergelijken met de hashes in de database?

Door Rudy, dinsdag 13 september 2011 13:37

Goed initiatief. Al is de cracker nog zo snel, een goed wachtwoord verslaat hem wel

Door Rafnold, dinsdag 13 september 2011 13:37

Als ik een ander wachtwoord neem, dan onthoud ik die echt niet. Ik heb daar veel moeite mee.

Door Zodiax1, dinsdag 13 september 2011 14:16

Mijn wachtwoord op Tweakers is ook simpel en zit ook bij de groep die zo'n balkje bovenaan heeft staan.

Maar is het een ramp voor mij als ze mijn account kraken? niet echt, heb geen reputatie hier, ben geen bekend persoon. Gewoon een anonieme gebruiker die af en toe eens een reply maakt op de nieuws of forum pagina's.

Voor andere websites waar het wel wat belangrijker is heb ik wel een moeilijk wachtwoord.

Tip: Gebruik altijd dezelfde wachtwoord, een complex wachtwoord, bv: 12HjP99u&#1.
Registreer je bij een nieuwe website? voeg dan iets toe aan het wachtwoord, bv de eerste en laatste letter van de naam van de website, zoals bij Tweakers de T voor het ww en de S achter, het wordt dan T12HjP99u&#1S
Hormail? H12HjP99u&#1L
Facebook? F12HjP99u&#1K

Zo hoef je maar 1 complex ww te onthouden.

Door onok, dinsdag 13 september 2011 14:27

Ik heb hetzelfde hier. Ik heb ingewikkeldere wachtwoorden voor mail, bankzaken en m'n battle.net account

Voor een forumpje hier en daar gebruik ik maar 2 (makkelijke) wachtwoorden.

Ik vind je tip trouwens wel een goeie.

Door Propheticus, woensdag 14 september 2011 00:00

Ik gebruik een standaard zinnetje waarvan ik een aspect/woord aanpas aan de hand van welke site het is en ik voeg aan het einde nog een cijfer toe. Zo heb je lange wachtwoorden met normale (en dus te onthouden) woorden en zijn ze nog uniek per website ook.

Door Sphinkx, dinsdag 13 september 2011 14:50

Goeie tip maar niet altijd praktisch. Wat wat doe je dan met sites waarbij je regelmatig je paswoord moet veranderen?

Door jip_86, dinsdag 13 september 2011 15:09

Jaartal ergens in verwerken oid.

Door Fealine, dinsdag 13 september 2011 16:56

Volgens komt dat bijna nooit meer voor en zelfs wanneer dit moet is er voor die specifieke website wel een uitzondering te maken.

Verbaasd me sowieso dat dit nog wordt toegepast aangezien het eigenlijk maar een vorm van schijnveiligheid is. Alsof een cracker het uitmaakt dat jij je wachtwoord in de afgelopen dagen hebt gewijzigd. Wanneer je merkt dat je account is gehacked ga je toch zelf je wachtwoord wijzigen, mits je niet al buitengesloten bent.

[Reactie gewijzigd door Fealine op dinsdag 13 september 2011 16:57]

Door freaky, dinsdag 13 september 2011 14:55

Vrij slecht advies IMHO, al hoewel het beter is als de meest gangbare methodes bij meeste gebruikers

. Het concept is vrij makkelijk en als we 1 wachtwoord van je hebben, hebben we ze dus eigenlijk allemaal.

Veel beter advies: Pak een password manager, zoals keepass.info (gratis, veel varianten van voor bijv iphone, android, linux, etc.). Stamp daar een moeilijk wachtwoord in. Gebruik het nergens anders. Laat Keepass je wachtwoorden autom. invoeren/intypen en genereren.

Ik kan je van >95% van mijn accounts niet eens vertellen wat het wachtwoord is zonder mijn wachtwoord bestandje. Het heeft aanzienlijke encryptie, maar komt ook met gevaren uiteraard. Als je wachtwoord + bestandje lekt heb je een probleem en met een slecht wachtwoord is het ook niet erg veilig.

Het kan overigens over weg met key files ipv wachtwoorden, dus bijv. alleen te ontsleutelen i.c.m. je usb stick (waarop de keyfile staat).

Door Fealine, dinsdag 13 september 2011 16:12

Ja hoor, sla jij al je wachtwoorden maar op bij een derde party. Heel leuk, maar ik vertrouw wat dat betreft niemand behalve mijzelf.

En wat nu als je computer crashed... of er gebeurd iets anders met het bestandje en deze niet meer kan gebruiken?

Ik ben het eens met Rafnold om je wachtoorden op die manier te bruiken. Ik gebruik inderdaad ook iets vergelijkbaars (zie mijn andere post) en dat werkt prima.

Daarbij geldt niet dat als je 1 wachtwoord hebt je ze gelijk allemaal hebt. Wachtwoorden worden namelijk via een hash opgeslagen. Je zal dus nooit als cracker de originele text terug krijgen maar je genereerd een ander wachtwoord welke dezelfde hash opleverd.

Door R-J_W, woensdag 14 september 2011 13:14

Een klein misverstand.
Keepass is een programma met dat jou wachtwoorden in een geëncrypte database opslaat. Dat bestand kun je opslaan waar je maar wilt.
keepass.info is alleen maar de website waar je dat programmatje kunt vinden.

freaky noemt nog een andere bestandje. Dat kan een willekeurig bestand zijn, die je als aanvulling op een wachtwoord gebruikt. Wees wel voorzichtig wanneer je dit gebruikt. Je hebt het exacte (key-)bestand nodig om de database te kunnen openen decrypten.

En:

Je zal dus nooit als cracker de originele text terug krijgen maar je genereerd een ander wachtwoord welke dezelfde hash opleverd.

Dit is alleen van toepassing wanneer er in de rainbow-table of gedurende een brute-force aanval eerder een ander werkend wachtwoord gevonden wordt dat dezelfde hash heeft.

[Reactie gewijzigd door R-J_W op woensdag 14 september 2011 13:15]

Door BeosBeing, dinsdag 13 september 2011 16:34

Veel beter advies: Pak een password manager, zoals keepass.info (gratis, veel varianten van voor bijv iphone, android, linux, etc.). Stamp daar een moeilijk wachtwoord in. Gebruik het nergens anders. Laat Keepass je wachtwoorden autom. invoeren/intypen en genereren.

Gaat niet werken als je
- op iemand anders zijn pc werkt, of op een publiek toegankelijke pc waar je jouw bestandje niet hebt
- op het werk waar je wel jouw bestandje hebt maar geen software (keepass) kunt installeren
- je wachtwoord op verschillende systemen gebruikt (bv desktop + laptop + tablet + telefoon), als je een wachtwoord moet veranderen, moet je die ook op de andere systemen veranderen en dat gaat niet als je niet al die apparaten bij de hand hebt.
- ...

Het enige bruikbare hiergenoemd is passwordcard.org echter daar loop je weer het risico je kaartje te verliezen, het met je broek mee te wassen, enzovoorts.

Door wizzkizz, dinsdag 13 september 2011 18:06

Keepass is een standalone programma waar ook portable edities van zijn. Je kunt het dus op je USB-stick meenemen en hoeft op de host verder niets te installeren.

Ik gebruik zelf Keepass (wachtwoord + keyfile) waarbij ik mijn wachtwoordbestand synchroniseer over verschillende devices middels Wuala (een soort Dropbox, maar dan veiliger). Dit heeft direct als voordeel dat je alle eerdere versies van je wachtwoordbestand ook terug kan halen, dus mocht dat corrupt raken op één of andere manier, dan heb je altijd nog je vorige versies.

Accounts waar ik altijd bij wil kunnen, ook zonder dat ik m'n telefoon/usb-stick bij me heb, beveilig ik met wachtwoorden van mijn passwordcard. Die heb ik gelamineerd en in m'n portemonnee gestopt, dus die heb ik eigenlijk altijd wel bij me.

Tot slot onthou ik een aantal wachtwoorden gewoon, dat zijn er door bovenstaande maatregelen dermate weinig dat het niet zo lastig is. Meestal zijn dat wachtwoordzinnen of samenstellingen van woorden die alleen voor mij betekenis hebben en voor de rest niet, met wat niet-standaard substituties.

Door Eonfge, dinsdag 13 september 2011 15:10

Gebruik de zelfde redenatie.

Mijn populaire/belangrijke sites zoals Tweakers, Moddb, SourceForge, Digid, paypal en dergelijke hebben allemaal sterke 20-32 wachtwoorden via lastpass. Mijn dragonagenexus.com password is qwerty.

Ik gebruik veel wegwerk accounts door middel van bloodyVikings! en ik ga geen moeite doen om lastpass wachtwoorden aan te maken voor sites waar ik niet terug kom.

Ook een interessant beveiligings-issue, heeft iedereen één mail adres? Ik kan me best voorstellen dat alle accounts aan één mail account koppelen heel gemakkelijk is, maar in de praktijk betekend dat dus dat je één wachtwoord hebt, om de andere te beheren/verifiëren.

Door Bvelleko, dinsdag 13 september 2011 15:38

Gebruik dit idee, gebruik in plaats van een enkele 3 tot 5 karakters uit de naam en plaats ze in willekeurige volgorde en hoofdlettergebruik tussen je string. Daarmee worden je wachtwoorden per site veel unieker dus veiliger.

Zelf gebruik ik ook een dergelijk systeem, en krijg de melding niet bovenaan te zien.

Een tool gebruiken om je wachtwoorden op te slaan vind ik een (onnodige) extra stap om je zaken te beheren.

Door BartOtten, donderdag 15 september 2011 00:14

Iets soortgelijks als Zodiax1 gebruik ik ook maar je gaat op je plaat als het aantal tekens gelimiteerd is. Ik moet maandelijks mijn wachtwoord van Skype resetten

Tips:
- Zorg dat je de boel zelf makkelijk onthoudt.
- Bedenk wat er moeilijk is voor een cracktool. Die dingen werken met logica en kansen, iets waar wij vanaf kunnen wijken. 'el1te' is logisch en kent een vrij grote kans; 'el2te' stapt daar simpel vanaf.
- Varieer voor elke website / programma
- Maar maak het niet zodanig dat MOCHT er eentje onderschept worden het duidelijk is dat je altijd een domeinnaam ofzo er achter hangt.

Zodiax1 geeft een prima systeem wat na gewenning waarschijnlijk razendsnel werkt. Maar als je het iets makkelijker wilt onthouden kun je bijvoorbeeld een zin omzetten:

For you I'll wait forever (@Tweakers.Net)
4uIllw84ever@Tn

Losse woorden en tekens kan ook prima

what the #?@ tn

[Reactie gewijzigd door BartOtten op donderdag 15 september 2011 00:19]

Door Buggle, vrijdag 16 september 2011 13:26

Het probleem is dan ook niet zo zeer dat je account hier gekraakt zou worden. Het gaat er veel meer om dat heel veel mensen op verschillende sites hetzelfde of practisch hetzelfde password gebruiken. Als je paswoord op tweakers onveilig is, betekent dat dus vaak dat je paswoord op bijvoorbeeld je internetbankieren misschien ook wel onveilig is.
Daarom is dit zeer lovenswaardig. Tweakers is een betrouwbare site, dus je hoeft je hier niet zo'n zorgen te maken over je password, maar op een willekeurig ander forum ofzo ligt de zaak heel anders.

Door HoeZoWie, zaterdag 8 oktober 2011 18:04

Hele goeie tip, deze neem ik mee, maar dan anders... iig bedankt voor jou wijsheid!

Door Quad, dinsdag 13 september 2011 13:38

Komt er ook een .plan na deze melding, dus pakweg over een week?
Want dat is wel een interessant onderwerp namelijk.

Door Ras, dinsdag 13 september 2011 14:43

Wat mij vooral interresant lijkt is als ze het onderzoek over een half jaar nogmaals doen, om te zien hoe goed of de tweakers hier luisteren naar de wijze raad over wachtwoorden.

« 1 2 3 4 ... 18 19 »

Op dit item kan niet meer gereageerd worden.

19-09	Tweakers.net kanshebber titel Website van het Jaar
15:12	Development-round-up - iteratie #5

Analyse: zwakke wachtwoorden op Tweakers.net

Het onderzoek

Zwakke wachtwoorden

Shortcuts

Categorie

Gerelateerde content

Arjen van der Meijden

Reacties

27-05 Nieuws

00:38 Productreviews

05:43 Vraag & Aanbod

25-05 Jobs

20:30 Etc.

05:39 Reacties

05:01 Forum

25-05 Gesponsorde acties

01:46 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines